JWT-decoder - JSON Web Tokens online decoderen en verloop controleren

Plak een willekeurig JSON Web Token om direct de header en payload te decoderen, de handtekening te bekijken en te controleren of het verlopen is. Werkt lokaal — je tokens verlaten je browser nooit.

Gecodeerde JWT

Decode and verify entirely in your browser — nothing is uploaded.

Bestanden worden na verwerking automatisch verwijderdVeilig verwerkt via HTTPS

Frequently Asked Questions

Plak het gecodeerde JWT (de lange eyJ…-tekenreeks) in het invoervak. De tool splitst het op de twee punten, decodeert de header en payload met Base64URL en toont voor beide de JSON plus het ruwe handtekeningsegment — allemaal zonder enige netwerkaanvraag.

usage

Nee. De decoder parseert alleen het token; hij controleert de handtekening niet tegen een geheime of publieke sleutel, omdat verificatie het sleutelmateriaal van de uitgever vereist. Gebruik voor productieverificatie een server-side JWT-bibliotheek; deze tool is bedoeld voor inspectie en debugging.

technical

Je krijgt de header (algoritme en sleutel-id), de payload-claims (sub, iss, aud, iat, exp en eventuele aangepaste claims) en de ruwe handtekening. Standaard tijdstempelclaims worden opgemaakt als leesbare datums, zodat je verlopen tokens in één oogopslag kunt herkennen.

features

Als de payload de standaard "exp"-claim bevat, vergelijkt de tool deze met de huidige tijd en toont hij ofwel "Geldig tot" of "Token verlopen op" met het exacte tijdstempel. Tokens zonder exp-claim worden gerapporteerd als zonder vervaldatum.

features

Iedereen die de payload van een JWT kan lezen, kan deze gebruiken totdat hij verloopt. Productietokens horen daarom thuis in privétools. Deze decoder draait volledig in je browser en verstuurt het token nooit, maar de veiligere vuistregel is om waar mogelijk kortlevende ontwikkeltokens te decoderen.

privacy

Een JWT bestaat uit drie met Base64URL gecodeerde segmenten, gescheiden door punten: header (ondertekeningsalgoritme), payload (de claims die de uitgever door de verifieerder vertrouwd wil zien) en signature (een MAC of digitale handtekening over header.payload). Decoderen vereist nooit een sleutel — alleen verifiëren wel.

technical

Een compacte, URL-veilige token die bestaat uit drie Base64URL-segmenten — header, payload en handtekening — en ondertekende claims bevat zoals een gebruikers-ID en een vervaltijd. Hij wordt veel gebruikt voor stateless inlogsessies en het beveiligen van API-verzoeken. Plak er hierboven een om de header en payload te bekijken.

technical

Onder de gedecodeerde header en payload plak je het ondertekeningsgeheim (voor HS256) of de publieke sleutel van de uitgever in PEM- of JWK-formaat (voor RS256, ES256 en dergelijke) in het vak Handtekening verifiëren, en klik je vervolgens op Verifiëren. De badge die verschijnt meldt of de handtekening geldig of ongeldig is, of een algoritme gebruikt dat de verifier aan de browserkant niet ondersteunt — allemaal lokaal berekend, zonder het token of de sleutel ergens naartoe te sturen.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Klik op Voorbeeld-JWT proberen om een demo HS256-token met sub-, name-, iat- en exp-claims te laden, zodat je het decoderen en de vervalcontrole in actie ziet voordat je je eigen token plakt. Zodra er een token in het vak staat, verschijnt er een Wissen-knop ernaast waarmee je de invoer met één klik weer leeg maakt.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth- en OpenID Connect-flows debuggen

Decodeer access-tokens en ID-tokens die worden geretourneerd door Auth0, Okta, Cognito en Azure AD om scopes, audiences en issuers te verifiëren tijdens lokaal OAuth-integratiewerk

For Developers

Authorization-headers in API-aanroepen inspecteren

Plak het bearer-token van een mislukte API-aanvraag om te bevestigen of de verkeerde tenant, rol of vervaldatum de oorzaak is voordat je een ticket aanmaakt bij het backendteam

For Developers

Controleer de vervaltijd van tokens tijdens de ontwikkeling

Spoor verlopen tokens op die je staging-omgeving stilletjes om zeep helpen door de exp-claim uit te lezen — je hoeft de token niet naar een terminal te kopiëren of snel een script te schrijven

For Business

Controleer rechten die in token-claims zijn gecodeerd

Verifieer aangepaste claims zoals rollen, tenants en feature flags, zodat beheerders kunnen bevestigen dat het token van een klant precies de toegang verleent die het licentieteam beoogt

For Business

Single sign-on-integraties valideren

Inspecteer SAML- en OIDC-tokens die door SSO-integraties op ondernemingsniveau worden gegenereerd om groepslidmaatschappen en attribuuttoewijzingen te controleren voordat je uitrolt naar alle medewerkers

Education

Token-gebaseerde authenticatie onderwijzen

Gebruik de gedecodeerde header-, payload- en signaturepanelen om aan bootcampstudenten, junior engineers en deelnemers aan securityworkshops uit te leggen hoe JWT's zijn opgebouwd

For Developers

Controleer de Webhook-Ondertekeningsinstelling van een Partner

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.